近年來,隨著智能手機(jī)的普及,APP數(shù)量增長(zhǎng)也是呈現(xiàn)出幾何式的增長(zhǎng),同樣APP風(fēng)險(xiǎn)各類事件也呈現(xiàn)出爆炸式的增長(zhǎng),各種漏洞消息此消彼長(zhǎng),漏洞類型層出不窮。而由于谷歌Android系統(tǒng)開源架構(gòu)特性,安卓移動(dòng)應(yīng)用早已成為APP風(fēng)險(xiǎn)重災(zāi)區(qū)。
目前的APP風(fēng)險(xiǎn)主要有服務(wù)端漏洞和客戶端漏洞兩種,在服務(wù)端漏洞方面主要有各種API接口引發(fā)的傳統(tǒng)WEB漏洞和利用無限制,直接攻擊服務(wù)端 ;在客戶端漏洞方面則有各種本地APP漏洞 ,利用可能需要交互或者借助安裝插入惡意APP。這些漏洞已經(jīng)深深危害了APP開發(fā)商和開發(fā)者利益,漏洞不僅呈現(xiàn)出類型多,數(shù)量也多得嚇人。
近日,NAGAIN娜迦信息在移動(dòng)安全極客沙龍上分享了安卓APP安全漏洞的自動(dòng)化挖掘的最新研究報(bào)告。報(bào)告顯示Android APP的漏洞類型與數(shù)量繁多,諸如SQL注入、webview系列漏洞、文件模式配置錯(cuò)誤、HTTPS不校驗(yàn)證書、拒絕服務(wù)攻擊等。針對(duì)這些亂象,NAGAIN娜迦信息(www.nagain.com)經(jīng)過幾年摸索和研究后,不斷完善APP漏洞的自動(dòng)化挖掘技術(shù),并在APP漏洞的自動(dòng)化挖掘方面獲得了眾多成就。
據(jù)調(diào)查數(shù)據(jù)顯示,絕大多數(shù)APP都存在著安全漏洞,這可能會(huì)導(dǎo)致它們?cè)谖磥砀腥緡?yán)重的惡意病毒。根據(jù)惠普對(duì)來自600多家福布斯全球2000強(qiáng)企業(yè)的2100多個(gè)移動(dòng)應(yīng)用的調(diào)查分析,顯示90%的應(yīng)用都有潛在漏洞,最常見的安全漏洞包括二次打包、后門注入風(fēng)險(xiǎn)、未加密數(shù)據(jù)儲(chǔ)存以及使用不安全的協(xié)議來傳輸數(shù)據(jù)等,這些漏洞不僅對(duì)開發(fā)者的利益和名譽(yù)構(gòu)成威脅,同時(shí)也會(huì)對(duì)用戶的利益造成嚴(yán)重危害。
NAGAIN娜迦信息在2013年提出APP漏洞挖掘測(cè)試點(diǎn)規(guī)范化模板,在次年3月完成了漏洞挖掘輔助分析模塊,在APP靜態(tài)分析、動(dòng)態(tài)監(jiān)控上取得了空前的突破,之后NAGAIN娜迦信息陸續(xù)為國(guó)內(nèi)多家銀行提供專業(yè)化的漏洞測(cè)試服務(wù)中,積累了大量的APP漏洞挖掘經(jīng)驗(yàn),并結(jié)合這種經(jīng)驗(yàn)開發(fā)、推出了全自動(dòng)化的APP安全掃描產(chǎn)品。在未來,NAGAIN娜迦信息會(huì)繼續(xù)深研APP安全漏洞的自動(dòng)化挖掘技術(shù), 打造移動(dòng)安全健康生態(tài)鏈。